Вірус поміняв пароль користувача, новий троян winlock

Довго ми боролися з різними вимагачами і блокаторами MBR. але вирусописатели не сплять, і навесні зустрічаємо нове дітище! Троян-блокувальник, доданий в вірусні бази під назвою Trojan.Winlock.5729. Відмінною особливістю цього вірусу-здирника полягає в тому, що вона блокує операційну систему. використовуючи штатні засоби Windows. шляхом зміни пароля локальних користувачів.

Вірус поміняв пароль користувача, новий троян winlock

Троянський кінь ховається в зміненому хакером файлі установки популярної програми Artmoney, призначеної для злому і редагування різних ресурсів в комп'ютерних іграх. У доповненні до цього установчого Artmoney, інсталятор містить три файли: змінений файл logonui.exe з ім'ям iogonui.exe (цей файл відповідає за демонстрацію графічного інтерфейсу при вході користувача в Windows XP) і два саморозпаковуються архіву, містять bat-файли. Під час запуску зараженого інсталяційний файл насамперед запускається password_on.bat. який містить набір команд, що виконують перевірку операційної системи. Перевіряє наявність на вінчестері каталогу c: \ users \. який свідчить присутності встановленої операційної системи Windows Vista і Windows 7. У цьому випадку вірус видаляється, якщо ж цієї папки він не знаходить, троянська програма вважає, що він запущений в Windows XP. Тоді Trojan.Winlock.5729 змінює системний реєстр, підміняючи при завантаженні Windows стандартний logonui.exe власним файлом iogonui.exe, і змінює пароль облікового запису Windows для поточного користувача і локальних користувачів з іменами:

Але поточний користувач працює в обмеженою облікового запису, робота троянця припиняється. Ще один bat-файл - password_off.bat - видаляє всі паролі користувачів і в системному реєстрі повертає оригінальне значення UIHost.

Виконавши вихід з системи або перезавантаження, користувач вже не зможе увійти, оскільки паролі всіх облікових записів користувачів були змінені.

Якщо ви стали жертвою цього вірусу, то для входу в систему використовуйте пароль «Спасибі!» (Без лапок), після чого Trojan.Winlock.5729 автоматично скине паролі облікових записів. Якщо цього не відбулося, можна вручну змінити значення параметра UIHost в галузі реєстру

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon на logonui.exe.

Джерело: Доктор Веб